Seznam přiřazení zamítnutí Azure
Podobně jako přiřazení role připojí přiřazení zamítnutí sadu akcí zamítnutí k uživateli, skupině nebo instančnímu objektu v určitém oboru pro účely odepření přístupu. Přiřazení zamítnutí blokuje uživatelům možnost provádět určité akce s prostředky Azure i v případě, že přiřazení role jim přístup uděluje.
Tento článek popisuje, jak vypsat přiřazení zamítnutí.
Důležité
Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Přiřazení zamítnutí se vytvářejí a spravují v Azure.
Jak se vytvářejí přiřazení zamítnutí
Přiřazení zamítnutí vytváří a spravuje Azure za účelem ochrany prostředků. Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Při vytváření zásobníku nasazení však můžete zadat nastavení zamítnutí, které vytvoří přiřazení zamítnutí, které vlastní prostředky zásobníku nasazení. Zásobníky nasazení jsou aktuálně ve verzi Preview. Další informace naleznete v tématu Ochrana spravovaných prostředků před odstraněním.
Porovnání přiřazení rolí a zamítnutí přiřazení
Přiřazení zamítnutí se řídí podobným vzorem jako přiřazení rolí, ale mají také určité rozdíly.
Schopnost | Přiřazení role | Přiřazení zamítnutí |
---|---|---|
Udělit přístup | ✅ | |
Odepření přístupu | ✅ | |
Lze vytvořit přímo | ✅ | |
Použití v oboru | ✅ | ✅ |
Vyloučení objektů zabezpečení | ✅ | |
Zabránění dědičnosti podřízeným oborům | ✅ | |
Platí pro přiřazení klasického správce předplatného | ✅ |
Odepřít vlastnosti přiřazení
Přiřazení zamítnutí má následující vlastnosti:
Vlastnost | Požaduje se | Type | Popis |
---|---|---|---|
DenyAssignmentName |
Ano | String | Zobrazovaný název přiřazení zamítnutí Názvy musí být pro daný obor jedinečné. |
Description |
No | String | Popis přiřazení zamítnutí |
Permissions.Actions |
Alespoň jedna akce nebo jedna akce DataActions | Řetězec[] | Pole řetězců, které určují akce řídicí roviny, ke kterým přiřazení zamítnutí blokuje přístup. |
Permissions.NotActions |
No | Řetězec[] | Pole řetězců, které určují akci řídicí roviny, která se má vyloučit z přiřazení zamítnutí. |
Permissions.DataActions |
Alespoň jedna akce nebo jedna akce DataActions | Řetězec[] | Pole řetězců, které určují akce roviny dat, ke kterým přiřazení zamítnutí blokuje přístup. |
Permissions.NotDataActions |
No | Řetězec[] | Pole řetězců, které určují akce roviny dat, které se mají vyloučit z přiřazení zamítnutí. |
Scope |
No | String | Řetězec, který určuje obor, na který se vztahuje přiřazení zamítnutí. |
DoNotApplyToChildScopes |
No | Logická hodnota | Určuje, jestli se přiřazení zamítnutí vztahuje na podřízené obory. Výchozí hodnotou je false. |
Principals[i].Id |
Ano | Řetězec[] | Pole ID objektů instančního objektu Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita), na které se přiřazení zamítnutí vztahuje. Nastavte na prázdný identifikátor GUID 00000000-0000-0000-0000-000000000000 , který bude představovat všechny objekty zabezpečení. |
Principals[i].Type |
No | Řetězec[] | Pole typů objektů reprezentovaných objekty[i].ID. Je nastaveno tak, aby SystemDefined představovalo všechny objekty zabezpečení. |
ExcludePrincipals[i].Id |
No | Řetězec[] | Pole ID objektů instančního objektu Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita), na které se přiřazení zamítnutí nevztahuje. |
ExcludePrincipals[i].Type |
No | Řetězec[] | Pole typů objektů reprezentované funkcí ExcludePrincipals[i].Id. |
IsSystemProtected |
No | Logická hodnota | Určuje, jestli bylo toto přiřazení zamítnutí vytvořeno v Azure a nelze ho upravit ani odstranit. V současné době jsou všechna přiřazení zamítnutí chráněná systémem. |
Všechny objekty zabezpečení
Pro podporu přiřazení zamítnutí byl zaveden objekt zabezpečení definovaný systémem s názvem Všechny objekty zabezpečení. Tento objekt zabezpečení představuje všechny uživatele, skupiny, instanční objekty a spravované identity v adresáři Microsoft Entra. Pokud je ID objektu zabezpečení nula GUID 00000000-0000-0000-0000-000000000000
a typ objektu zabezpečení je SystemDefined
, představuje objekt zabezpečení všechny objekty zabezpečení. Ve výstupu Azure PowerShellu vypadají všechny objekty zabezpečení takto:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Všechny objekty zabezpečení se dají kombinovat, ExcludePrincipals
aby se odepřely všechny objekty zabezpečení s výjimkou některých uživatelů. Všechny objekty zabezpečení mají následující omezení:
- Lze použít pouze v
Principals
a nelze jej použít vExcludePrincipals
. Principals[i].Type
musí být nastavena naSystemDefined
hodnotu .
Zobrazení seznamu zamítnutých přiřazení
Pokud chcete zobrazit seznam odepření přiřazení, postupujte podle těchto kroků.
Důležité
Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Přiřazení zamítnutí se vytvářejí a spravují v Azure. Další informace naleznete v tématu Ochrana spravovaných prostředků před odstraněním.
Požadavky
Pokud chcete získat informace o přiřazení zamítnutí, musíte mít:
Microsoft.Authorization/denyAssignments/read
oprávnění, která je součástí většiny předdefinovaných rolí Azure.
Výpis přiřazení zamítnutí na webu Azure Portal
Podle těchto kroků vypíšete přiřazení zamítnutí v oboru předplatného nebo skupiny pro správu.
Na webu Azure Portal otevřete vybraný obor, například skupinu prostředků nebo předplatné.
Vyberte Řízení přístupu (IAM) .
Vyberte kartu Odepřít přiřazení (nebo vyberte tlačítko Zobrazit na dlaždici Zobrazit přiřazení zamítnutí).
Pokud v tomto oboru existují nějaká přiřazení zamítnutí nebo zděděná do tohoto oboru, zobrazí se v seznamu.
Pokud chcete zobrazit další sloupce, vyberte Upravit sloupce.
Sloupec Popis Jméno Název přiřazení zamítnutí Typ objektu zabezpečení Uživatel, skupina, systémově definovaná skupina nebo instanční objekt Popíral Název objektu zabezpečení, který je součástí přiřazení zamítnutí. Id Jedinečný identifikátor přiřazení zamítnutí. Vyloučené objekty zabezpečení Zda existují objekty zabezpečení, které jsou vyloučeny z přiřazení zamítnutí. Nevztahuje se na podřízené položky. Určuje, jestli je přiřazení zamítnutí zděděno do dílčích oborů. Ochrana systému Určuje, jestli je přiřazení zamítnutí spravované v Azure. V současné době vždy ano. Scope Skupina pro správu, předplatné, skupina prostředků nebo prostředek Přidejte značku zaškrtnutí do některé z povolených položek a pak vyberte OK , aby se zobrazily vybrané sloupce.
Výpis podrobností o přiřazení zamítnutí
Pokud chcete zobrazit další podrobnosti o přiřazení zamítnutí, postupujte podle těchto kroků.
Otevřete podokno Odepřít přiřazení, jak je popsáno v předchozí části.
Výběrem názvu přiřazení zamítnutí otevřete stránku Uživatelé .
Stránka Uživatelé obsahuje následující dvě části.
Odepřít nastavení Popis Zamítnutí přiřazení se vztahuje na Objekty zabezpečení, na které se přiřazení zamítnutí vztahuje. Vyloučení přiřazení zamítnutí Objekty zabezpečení, které jsou vyloučené z přiřazení zamítnutí. Objekt zabezpečení definovaný systémem představuje všechny uživatele, skupiny, instanční objekty a spravované identity v adresáři Azure AD.
Pokud chcete zobrazit seznam oprávnění, která jsou odepřena, vyberte Odepřít oprávnění.
Typ akce Popis Akce Odepření akcí řídicí roviny NotActions Akce roviny řízení vyloučené z odepřených akcí řídicí roviny Akce dat Akce roviny dat byly odepřeny. NotDataActions Akce roviny dat vyloučené z odepřených akcí roviny dat V příkladu zobrazeném na předchozím snímku obrazovky jsou platná oprávnění:
- Všechny akce úložiště v rovině dat jsou odepřeny s výjimkou výpočetních akcí.
Pokud chcete zobrazit vlastnosti přiřazení zamítnutí, vyberte Vlastnosti.
Na stránce Vlastnosti uvidíte název přiřazení zamítnutí, ID, popis a obor. Přepínač Nevztahuje se na podřízené položky určuje, zda je přiřazení zamítnutí zděděno do dílčích oborů. Přepínač chráněný systémem označuje, jestli toto přiřazení zamítnutí spravuje Azure. V současné době je to Ano ve všech případech.